【翻牆問答】手機SIM Card保安有漏洞 黑客藉短訊植入程式監控

2019-09-20
電郵
評論
Share
打印
2019年5月24日,一名北京市民手持智能電話在一間售賣電子產品的商店門前經過。近日有研究發現,有黑客利用手機上SIM卡的保安漏洞,對敏感人士進行監控。(美聯社)
2019年5月24日,一名北京市民手持智能電話在一間售賣電子產品的商店門前經過。近日有研究發現,有黑客利用手機上SIM卡的保安漏洞,對敏感人士進行監控。(美聯社)

問︰最近有人發現在一般手機常用的SIM Card出現嚴重保安漏洞,用戶可能被人監控,而完全渾然不知。究竟SIM Card的漏洞,有多可怕?

李建軍︰這個漏洞,出現在一款2009年後已經沒有再更新的SIM Card應用程式,本來是用作提供更好的客戶服務,只不過,有不法之徒濫用此程式,黑客藉惡意短訊,就可以在目標人物的手機上植入程式,在神不知鬼不覺的情況下,不斷將你的最新位置和IMEI(國際行動裝置辨識碼)告知當局。而由於受操控的SIM Card濫用一些電訊公司獨有權限,所以發出去的短訊並不會在手機任何部分見到。只有收到短訊的特定收件人,才知道這些短訊的存在。

問︰那甚麼人會受到這個漏洞影響?

李建軍︰如果你的SIM Card已經用了超過五年,其實你SIM Card的保安機制很可能已經過時,或會受到影響。

但另一方面亦十分視乎不同電訊公司的股東背景,像西方國家的電訊公司,一般著重私隱,所以會不斷改變使用SIM Card的型號,避免受到保安漏洞影響,但中國的電訊公司都是國有企業,著重完成政治任務,所以他們有可能在當局下令之下故意保留漏洞。而部分第三世界國家的電訊公司,因為財政問題,所以並無經常更新新系統。

問︰如果黑客不斷在被入侵的手機上傳送短訊,那麼,假如受害人使用預付卡,會變得十分快被扣清餘額;如果是月費用家,就可能出現不正常帳單。那怎可能受害者對異常情況仍懵然不知?

李建軍︰要成功植入這個漏洞,某個程度上都需要電訊公司合作,如果電訊公司以特定技術安排,豁免因這些程式造成的短訊費用,甚至隱藏帳單中的相關資料,其實受害者十分難察覺異常,自己的SIM Card有沒有被「加料」作監控之用。因為現時使用這種技術的黑客,很可能都是受僱於政治人物或獨裁國家政府。

而且暫時為止,受影響的人通常是零星的一、二百人,因為這需要相當程度的部署,才可能將有問題的應用程式透過短訊植入SIM Card中。所以,這個漏洞的主要目標,一般都是新聞工作者,或者有份參與民眾運動的人。而且是當局掌握到受監控對象的電話,以及SIM Card的技術資料,才有可能使用這種神不知鬼不覺的監控辦法。

問︰如果換上新款SIM Card,又有沒有效用?

李建軍:如果你在海外,當然換上新款SIM Card比較好,因為新的SIM Card都不再支援十年前的舊款程式。而海外大部分電訊公司,都已經改用新一代的SIM Card,或因應智能手機流行,而不再在SIM Card內置程式,改為利用智能手機的應用程式向客戶提供服務。而海外傳媒,都會追問主流電訊公司有否受到影響。

但如果你在中國就不一定有用,因為以中國當局現時監控成狂的情況,你應假定任何一款SIM Card,只要是用於中國國有電訊公司的網絡,都很大機會有監控功能,在中國,要逃過當局利用SIM Card漏洞胡作非為,似乎可能性不大。就算換了SIM Card都無濟於事。同樣道理,中移動香港以及中聯通香港的手機SIM Card,現時都是不安全,因為兩間公司都是國有企業,他們很有可能要負起一部分任政治任務。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站